Burp Proxy

JRE上で動くツールです。

Web Application Security, Testing, & Scanning | PortSwigger

v1.01をインストールして、何度か使ってみました。

全体的には、コンパクト・シンプルであり、比較的細かい設定も柔軟にできるツールだという感じを受けました。

ただ、困ったのは、Burp上でレスポンスを表示する際に、上の画面キャプチャのようにShift_JIS以外（EUC-JPやUTF-8）のページが文字化けしてしまうということです。

Rsnake氏のBlogで、Burpが改善要望を募っていると知りましたので、早速要望を入れました。

要望を書いた後に、別の問題にも気付きました。リクエストやレスポンスをインターセプトして内容を書き換えると、ブラウザに送るレスポンスをどうにかしてしまうらしく、ブラウザ上での表示まで文字化けする場合があります。

という訳で、今のところ、日本語のサイトをごにょごにょする時には、どうもまともに使えないような気がしています。

あと、以下の機能は欲しいなと思いました。

• レスポンスのHEX表示
• historyのフィルタ/検索機能

文字化けの件と合せて、今後のアップデートに期待したいところです。

最後に一つ。全体に機能本位な感じでよいのですが、見た目（デザイン）が少々寂しいなと思いました。

Fiddler

MSが作っているツールです。.NET Framework上で動きます。

Fiddler - Free Web Debugging Proxy - Telerik

私がインストールしているのはv2.0.9.0 beta。まだあんまり使っていませんが、とりあえず気づいた事をいくつか。

WebScarab

OWASPのツールです。JRE上で動きます。

Category:OWASP WebScarab Project - OWASP

version20060718-1904をインストールしています。まだ殆ど使ってません。

• 見た目は、Burpよりもさらにもっさりした感じ。
• タブやボタンが多い。慣れていないせいか判りにくい。
• 全体的に動作が遅い気がする（インターセプトなど）。
• ここ2年くらいは、年1〜2回のアップデート頻度。

とりあえずは

時間を見て、WebScarabをもう少し試してみようかと思っています。

もちろん、Doorman（Kanatoko氏作）も使わせてもらいます（Proxyツールも作られていたとは知りませんでした）。

あと気になっているのは、Parosの作者が作っている有償の製品（Milescan）です。Consultant licenseだと年間$1495と相当お高めの価格設定ですが、それだけの価値がある製品なんでしょう（きっと）。トライアル版があるので試してみたいと思います。